DarkSword: سلسلة من 6 ثغرات iOS تجبر Apple على تصحيح طارئ

نُشر في أبريل 7, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

DarkSword مجموعة استغلال iOS كاملة السلسلة تسلسل ست ثغرات — ثلاث يوم صفر — في WebKit وdyld والنواة لاختراق iPhone بالكامل من زيارة موقع واحدة. أكدت Google Threat Intelligence استخدام ثلاث مجموعات تهديد على الأقل لها، بما فيها بائع المراقبة التركي PARS Defense ووحدة تجسس روسية مشتبه بها، مستهدفة تركيا وماليزيا والسعودية وأوكرانيا. وسّعت Apple التصحيحات إلى iOS 18.7.7 في 1 أبريل 2026.

خلاصة: يجب على كل مؤسسة تدير أساطيل iPhone التحقق فوراً من أن جميع الأجهزة تعمل بنظام iOS 18.7.7 أو iOS 26.3 كحد أدنى، إذ يمكن لـDarkSword اختراق أي جهاز غير مصحح بالكامل عبر زيارة موقع واحدة دون تفاعل المستخدم.

اقرأ التحليل الكامل ↓

🧭 رادار القرار (المنظور الجزائري)

الأهمية بالنسبة للجزائر
عالي
▾

انتشار iPhone في الجزائر كبير، ومع 70 مليون هجمة سيبرانية سنوياً، يمثل استغلال الأجهزة المحمولة تهديداً حقيقياً. نمط استهداف DarkSword عبر دول المنطقة بما فيها السعودية يجعل التعرض في شمال أفريقيا محتملاً.

البنية التحتية جاهزة؟
جزئي
▾

لا تمتلك الجزائر فريق استجابة وطني (CERT) بقدرات كشف استغلال الأجهزة المحمولة. حلول MDM متاحة عبر موردين دوليين لكن اعتمادها في الحكومة والمؤسسات غير متساوٍ.

المهارات متوفرة؟
جزئي
▾

يمكن للقوى العاملة المتنامية في الأمن السيبراني بالجزائر تنفيذ سياسات التصحيح وفرض MDM. تحليل سلاسل الاستغلال يتطلب مهارات متقدمة تهدف المدرسة الوطنية للأمن السيبراني الجديدة لتطويرها.

الجدول الزمني للعمل
فوري
▾

DarkSword مُستغل بنشاط والتصحيحات متاحة الآن. يجب على كل مؤسسة تدير أساطيل iPhone التحقق من أن الأجهزة تعمل بنظام iOS 18.7.7 أو iOS 26.3 كحد أدنى.

أصحاب المصلحة الرئيسيون
فرق أمن تكنولوجيا المعلومات المؤسسية، مسؤولو أمن المعلومات الحكوميون، مديرو أساطيل الهواتف المحمولة، مشغلو الاتصالات
▾

يجب على هذه المجموعات التحقق فوراً من نشر التصحيحات عبر مجموعات الأجهزة المُدارة.

نوع القرار
تكتيكي
▾

يتطلب هذا استجابة تشغيلية فورية — تصحيح وفرض سياسات MDM وتقييم حلول الدفاع المحمول — وليس تخطيطاً استراتيجياً طويل الأمد.

خلاصة سريعة: يجب على كل مؤسسة في الجزائر تدير أساطيل iPhone التحقق فوراً من أن الأجهزة تعمل بنظام iOS 18.7.7 أو iOS 26.3 كحد أدنى. تثبت سلسلة استغلال DarkSword أن زيارة موقع واحدة يمكن أن تخترق iPhone غير محدّث بالكامل. ينبغي للمؤسسات الجزائرية فرض سياسات MDM تلزم بإصدارات نظام التشغيل الحالية وتقييم حلول الدفاع ضد التهديدات المحمولة للموظفين عاليي المخاطر.

زيارة موقع واحدة تكفي

زيارة موقع روتينية. هذا كل ما يلزم. تسلسل مجموعة استغلال DarkSword ست ثغرات تشمل WebKit وSafari والمُحمِّل الديناميكي ونواة iOS لتحقيق اختراق كامل للجهاز من تفاعل متصفح واحد. لا نقرات مطلوبة بعد تحميل الصفحة الأولي. لا تفاعل من المستخدم بعد الوصول إلى موقع مخترق.

وُثقت سلسلة الاستغلال علنياً في مارس 2026 من قبل Threat Intelligence Group التابعة لـGoogle بالتعاون مع iVerify وLookout، مما أجبر Apple على دورة تصحيحات طارئة نادرة، موسعة في النهاية الإصلاحات إلى iOS 18.7.7 بتاريخ 1 أبريل 2026. أكدت Google أن المجموعة اعتمدها عدة فاعلين تهديد، بما فيهم بائع مراقبة تجاري تركي، ومجموعة تهديد تحمل التصنيف UNC6748، ومجموعة تجسس روسية مشتبه بها تُتبع باسم UNC6353.

الثغرات الست

تأتي قوة DarkSword من تسلسل ست ثغرات متميزة في مسار هجوم سلس. ثلاث منها ثغرات يوم صفر.

CVE-2025-31277 — فساد ذاكرة JavaScriptCore. نقطة الدخول. خلل في فساد الذاكرة في JavaScriptCore، محرك JavaScript الذي يقوم عليه جميع متصفحات WebKit على iOS. زيارة صفحة ويب خبيثة تطلق تنفيذ الشفرة الأولي داخل صندوق رمل المتصفح.

CVE-2025-43529 — فساد ذاكرة JavaScriptCore. خلل ثانٍ في JavaScriptCore يُستخدم لتثبيت الاستغلال وتحقيق تنفيذ شفرة موثوق. وجود خللين منفصلين في JavaScriptCore يشير إلى معرفة عميقة لدى المطورين بالبنية الداخلية لـWebKit.

CVE-2025-14174 — فساد ذاكرة ANGLE. خلل في ANGLE (Almost Native Graphics Layer Engine)، طبقة تجريد الرسوميات المستخدمة من WebKit للعرض المسرّع بـGPU، مما يوفر مساراً نحو مكونات النظام الأدنى مستوى.

CVE-2026-20700 — تجاوز PAC في dyld. المحور الحاسم. هذه الثغرة في dyld، المُحمِّل الديناميكي لـiOS، تتجاوز Pointer Authentication Codes من Apple — حماية عتادية أُدخلت مع شريحة A12 عام 2018 تحديداً لمنع سلاسل الاستغلال مثل DarkSword.

CVE-2025-43510 — إدارة ذاكرة نواة iOS. خلل في النواة يتيح تصعيد الصلاحيات من مساحة المستخدم إلى مساحة النواة.

CVE-2025-43520 — فساد ذاكرة نواة iOS. الحلقة الأخيرة لتحقيق وصول مستمر على مستوى النواة والتحكم الكامل بالجهاز.

من المتصفح إلى الاختراق الكامل

ينفَّذ الهجوم في ثوانٍ. تحقق ثغرات JavaScriptCore تنفيذ الشفرة داخل صندوق رمل Safari. خلل ANGLE يهرب من صندوق الرمل إلى مساحة المستخدم. ثغرة dyld تهزم حماية PAC العتادية. ثغرتا النواة تصعدان إلى وصول ring 0. مع التحكم على مستوى النواة، يستطيع المهاجمون تثبيت زرعات مستمرة وتسريب البيانات وتفعيل الميكروفونات والكاميرات واعتراض الاتصالات المشفرة.

لا ترى الضحية شيئاً غير عادي — ربما تأخر طفيف في تحميل الصفحة.

ثلاث مجموعات تهديد، أربع دول

وثق Threat Intelligence من Google أن PARS Defense، بائع المراقبة التجاري التركي، يستخدم DarkSword منذ نوفمبر 2025 على الأقل في حملات تستهدف مستخدمين في تركيا وماليزيا. طبقت PARS أمناً تشغيلياً متطوراً يشمل تشفير ECDH وAES بين الخادم والضحية. الحمولة المسلَّمة كانت GHOSTSABER، باب خلفي JavaScript قادر على جرد الأجهزة وقائمة الملفات وتسريب البيانات وتنفيذ شفرة عشوائية.

حددت Google ثلاث عائلات برمجيات خبيثة متميزة نُشرت بعد اختراق DarkSword: GHOSTBLADE وGHOSTKNIFE وGHOSTSABER — كل منها مرتبطة بفاعل تهديد مختلف. رُصدت حملات تستهدف السعودية وتركيا وماليزيا وأوكرانيا.

أدى تسريب شفرة إثبات المفهوم في نهاية المطاف على GitHub إلى تسريع الانتشار، مما يعرض التقنية محتملاً لمهاجمين أقل تطوراً. ما كان حصرياً لبائعي المراقبة يصبح متاحاً لمجرمي الإنترنت.

استجابة Apple الطارئة

تكشفت استجابة Apple على مراحل. تلقى مستخدمو iOS 26 التصحيحات عبر دورة التحديث العادية iOS 26.3. بالنسبة لمئات الملايين من الأجهزة التي تعمل بـiOS 18، أصدرت Apple أولاً iOS 18.7.7 في 24 مارس لمجموعة محدودة من الأجهزة القديمة (iPhone XS وXR وiPad الجيل السابع)، ثم وسعت التوفر لجميع الأجهزة المدعومة في 1 أبريل 2026.

يبرز الجدول الزمني للتصحيح الممتد عدة أسابيع تحدياً هيكلياً: تنوع إصدارات الأجهزة وبطء اعتماد تحديثات نظام التشغيل يخلقان ذيلاً طويلاً من الأجهزة المعرضة. يستهدف DarkSword تحديداً iOS 18.4 إلى 18.7، وهي إصدارات تعمل على غالبية أجهزة iPhone النشطة عالمياً.

تجاوز PAC يغير المعادلة

العنصر الأكثر أهمية تقنياً هو تجاوز PAC (CVE-2026-20700). قدمت Apple تقنية Pointer Authentication Codes مع شريحة A12 كدفاع عتادي ضد هجمات إعادة استخدام الشفرة. يوقع PAC عناوين الإرجاع ومؤشرات الدوال بأكواد تشفيرية، مما يمنع نظرياً المهاجمين من إعادة توجيه التنفيذ حتى بعد تحقيق فساد الذاكرة.

يثبت تجاوز DarkSword أن التخفيفات العتادية، رغم رفعها الكبير للعتبة، ليست منيعة. لهذا تداعيات تتجاوز Apple: CET من Intel وMTE من ARM وميزات الأمن العتادية الأخرى تتبع نفس النموذج. يُظهر DarkSword أن هذه الدفاعات تضيف تكلفة وتعقيداً للمهاجمين لكنها لا تزيل التهديد.

دروس لأمن المؤسسات

سرعة التصحيح حاسمة. امتدت النافذة بين الاستغلال النشط والتصحيح الشامل لأشهر. المؤسسات التي تفرض تحديثات سريعة لنظام التشغيل تقلص التعرض بشكل كبير.

يجب أن يفرض MDM إصدارات نظام التشغيل. حلول إدارة الأجهزة المحمولة التي تسمح بتأجيل غير محدد للتحديثات تخلق ثغرة مستمرة. يجب أن تفرض سياسات المؤسسة الإصدار الحالي أو الحالي ناقص واحد من نظام التشغيل.

تصفح الويب سطح هجوم. توصيل DarkSword عبر مواقع شرعية مخترقة يتجاوز الدفاعات المركزة على التصيد. ينبغي تقييم حلول الدفاع ضد التهديدات المحمولة التي تكتشف نشاط مجموعات الاستغلال على مستوى الشبكة أو الجهاز.

افتراض الاختراق للأهداف عالية القيمة. ينبغي للمؤسسات التي قد يُستهدف موظفوها من قبل بائعي المراقبة التجارية تنفيذ تدوير الأجهزة واتصالات مقسمة وفحوصات جنائية منتظمة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما هي DarkSword وكيف تخترق أجهزة iPhone؟

DarkSword مجموعة استغلال iOS كاملة السلسلة تجمع ست ثغرات في WebKit والمُحمِّل الديناميكي لـSafari (dyld) ونواة iOS لتحقيق اختراق كامل للجهاز من زيارة موقع واحدة. تستهدف iOS 18.4 إلى 18.7، ولا تتطلب أي تفاعل من المستخدم بعد تحميل الصفحة، ويمكنها تثبيت زرعات مراقبة مستمرة في ثوانٍ.

ما مجموعات التهديد التي تستخدم DarkSword؟

حدد Threat Intelligence من Google ثلاث مجموعات على الأقل: PARS Defense (بائع مراقبة تجاري تركي) تستهدف تركيا وماليزيا، وUNC6748، ومجموعة التجسس الروسية المشتبه بها UNC6353. تسربت شفرة إثبات المفهوم إلى GitHub، موسعة التوفر لما وراء الفاعلين على مستوى الدول. استهدفت الحملات السعودية وتركيا وماليزيا وأوكرانيا.

هل أصلحت Apple ثغرة DarkSword وماذا يجب على المستخدمين فعله؟

نعم. أصلحت Apple لمستخدمي iOS 26 عبر iOS 26.3 ووسعت الإصلاحات إلى iOS 18.7.7 في 1 أبريل 2026، مغطية الأجهزة من iPhone XR حتى iPhone 16. يجب على جميع مستخدمي iPhone التحديث فوراً. ينبغي للمؤسسات فرض التحديثات التلقائية عبر MDM والتحقق من عدم بقاء أي أجهزة مُدارة على iOS 18.4-18.7 بدون التصحيح.